„IT-Sicherheit wird nach wie vor nicht ernst genug genommen“

Cyberangriffe wie z. B. auf das deutsche Bundesministerium in diesem Jahr, haben nicht nur medial große Wellen geschlagen, sondern auch die Themen IT-Sicherheit und Cyberkriminalität wieder mehr in den Fokus gerückt. Laut ITK-Branchenverband Bitkom wurde bereits jedes zweite deutsche Unternehmen Opfer von Cyberangriffen. Jährlich entsteht der deutschen Wirtschaft durch Cyberkriminalität ein Schaden in Höhe von 55 Mrd. Euro. Kein Wunder also, dass das Wort „hacken“ oft mit negativen Schlagzeilen und bösen Machenschaften verbunden wird.

Dabei ist der „Hacker“ eigentlich nichts anderes als ein Tüftler, der Dinge ausprobiert, oft in Verbindung mit Computern. Im Fokus stehen aber die „bösen“ Hacker, die in der Regel Unheil und Schaden anrichten. Und was machen die „guten“ Hacker? Frederic Schier und Benjamin Greis des cyberLAGO-Mitgliedsunternehmens RedFox InfoSec GmbH gehören zu dieser Gruppe. In welcher Form das Start-up hacken im positiven Sinne nutzt, wie gerade das mit IT-Sicherheit zusammenhängt und warum der Mensch eine der größten Schwachstellen im System ist, erzählen sie uns im Interview.

 

Hacken mit positiver Absicht: wie sieht das aus?

Das sieht so aus, dass wir in die Systeme unserer Kunden einbrechen, so auf Schwachstellen im IT-Netz aufmerksam machen und das Unternehmen dadurch vorzeitig für Cyberangriffe wappnen und vorbereiten. Das ganze Verfahren nennt sich Penetration Testing oder Red Teaming. Das bedeutet, wir hacken uns im Auftrag des Unternehmens in ihr System und prüfen damit ihre IT-Sicherheit. Vorab wird mit dem Kunden geklärt, welche Art von Angriffsszenario durchgeführt werden soll und auf welche Bereiche im IT-System wir uns beschränken sollen. Im Grunde machen wir das Gleiche, wie die „bösen“ Hacker, die Arbeit ist die gleiche. Der Unterschied ist: Wir arbeiten legal, mit Erlaubnis und verfolgen ein anderes Ziel.

 

Und trotzdem hält sich das negativ besetzte Bild des Hackers in den Köpfen der Menschen. Wie schwer ist es für euch, gegen dieses Vorurteil anzukommen?

Wir erleben es eigentlich selten, dass man uns negativ begegnet. Natürlich muss man immer erst erklären, was genau wir machen und wie es für das Unternehmen von Nutzen sein kann. Die Leute reagieren überwiegend positiv. Die Neugierde steht in dem Fall über den Vorurteilen.

 

Welches sind die häufigsten Schwachstellen, die ihr bei euren Tests identifiziert?

Ganz oft sind es die Passwörter, die sehr einfach zu knacken sind und die zu selten oder gar nicht geändert werden. Veraltete Soft- und Hardware macht es den Hackern außerdem leicht, ins System einzudringen und wertvolle Daten abzugreifen. Die größte Schwachstelle ist jedoch immer noch der ungeschulte Mitarbeiter, der auf nicht vertrauenswürdige Links klickt und Anhänge oder E-Mails von nicht bekannten oder gefälschten Absendern öffnet. Auch USB-Sticks können Schadcodes enthalten, die sich bei Benutzung auf den Rechner einschleichen.

 

Welche Tipps habt ihr für Mitarbeiter, sich und das Unternehmen vor Hackerangriffen zu schützen?

Grundsätzlich gilt: immer rückfragen und doppelt checken, wenn einem irgendetwas seltsam vorkommt. Schickt mir jemand ohne Erläuterung eine Textdatei, die Makros ausführen will, sollte man schon mal stutzig werden und lieber nochmal das Telefon in die Hand nehmen und sich rückversichern. Wobei kriminelle Hacker mittlerweile auch diesen Kommunikationsweg für sich ausnutzen. Denn auch am Telefon können sensible Daten abgegriffen oder Zahlungen veranlasst werden, wenn sich Angreifer beispielsweise als eine Person aus dem Unternehmen oder als Kunde ausgeben. Hier gilt ebenfalls Vorsicht und ein gesundes Maß an Misstrauen.

 

Angenommen man öffnet eine infizierte Hacking-Datei, wie äußert sich das auf dem Rechner?

Das hängt in erster Linie von der Art des Angriffs ab. Bei Ransomware zum Beispiel bemerkt der Nutzer direkt, dass er gehackt wurde, denn der Computer wird verschlüsselt bzw. gesperrt und es taucht ein Pop-up mit einer Zahlungsaufforderung auf. Dann gibt es aber auch Malware, die im Hintergrund mitläuft und Rechenkapazität klaut. Der Nutzer bekommt dies nicht unbedingt mit. Ein Anzeichen gibt es jedoch: Wenn der Rechner heiß läuft, der Akku ständig leer ist, obwohl man das Gerät nicht intensiver als sonst nutzt, können das Anzeichen für einen Angriff sein. Programme, die zur Informationsbeschaffung, zum Ausspähen des Unternehmens und der Mitarbeiter eingesetzt werden, versuchen so lange wie möglich unentdeckt zu bleiben. Diese sind häufig nicht auf Anhieb zu erkennen.

 

Habt ihr den Eindruck, dass IT-Sicherheit ernst genug genommen wird? Sind Unternehmen in dieser Hinsicht sicher aufgestellt oder denken sie nur, es zu sein?

Um ehrlich zu sein: IT-Sicherheit wird nach wie vor nicht ernst genug genommen. Oft sind Unternehmen und vor allem kleinere Unternehmen der Meinung, dass sie keine relevanten Daten haben, die für Hacker interessant sein könnten. Sie sehen sich nicht als potenzielle Opfer. Das ist aber ein Trugschluss. Hacker finden immer etwas, das für sie interessant sein könnte. Egal ob Kontaktdaten, Bankdaten oder Lieferaufträge. Alles kann verarbeitet und weiterverwertet werden. Wenn es keine interessanten Daten abzugreifen gibt, wird die gehackte Hardware beispielsweise als sogenannter Zombie in ein Botnetz eingebunden oder zum Schürfen von Kryptowährung eingesetzt.

Größere Firmen beschäftigen sich da schon eher mit ihrer IT-Sicherheit, weil sie häufig mehr Regelungsvorgaben seitens des Gesetzgebers oder von Auftraggebern haben. Momentan ist es aber so, dass nur ein kleiner Teil des IT-Budgets in die IT-Sicherheit investiert wird.

 

Wie schnell entwickeln sich neue Formen des Hackings?

Sehr schnell. Hacker passen sich immer den neuen Gegebenheiten und Systemen an. Früher waren zum Bespiel die Systeme Linux und Mac noch nicht so stark verbreitet wie heute, dementsprechend gab es auch weniger Viren und Malware für diese Systeme. Das hat sich mittlerweile natürlich geändert. Neue Hacking-Formen werden sich immer entwickeln. Die Szene hat sich so weit professionalisiert, dass man mittlerweile auch vom Hacking leben kann. Gleichzeitig werden auch die Systeme komplexer und die Vernetzung steigt.

 

Erschweren komplexe Systeme den Hackern nicht die Arbeit?

Das Gegenteil ist der Fall, mit steigender Komplexität vergrößert sich auch die mögliche Angriffsfläche. Im Prinzip wird es ein ewiges Katz-und-Maus-Spiel zwischen Angreifern und Verteidigern bleiben. Um sicher zu bleiben, müssen Unternehmen sich kümmern, sonst werden sie ganz schnell von den Hackern überholt und es ist eine Frage der Zeit, bis sie Opfer eines ernst zu nehmenden Angriffs werden. Im Grunde ist IT-Sicherheit wie Zähne putzen: Wenn man nicht auf seine Zahnhygiene achtet, regelmäßig putzt, zu Kontrolluntersuchungen geht und erste Zeichen von Karies bekämpft, hat man irgendwann ein Problem und sehr teure Rechnungen vor sich.